VENOM: Vulnérabilité QEMU (CVE-2015-3456)
L'équipe Red Hat Product Security a été informée d'une vulnérabilité « un débordement de la mémoire tampon » qui affecte l'émulation du contrôleur de lecteur de disquettes du composant QEMU des hyperviseurs KVM/QEMU et Xen. La vulnérabilité assignée CVE-2015-3456 est maintenant connue sous le nom de VENOM et a été détectée par Jason Geffner de CrowdStrike, Inc. La vulnérabilité est classifiée comme ayant un impact Important.
Informations générales
QEMU est un virtualisateur et un émulateur générique open source qui est incorporé dans certains produits Red Hat en tant que fondation et couche d'émulation de matériel pour pouvoir exécuter des machines virtuelles sous les hyperviseurs Xen et KVM/QEMU.
Impact
Un utilisateur privilégié pouvait utiliser cette défaillance pour bloquer l'invité ou, potentiellement, exécuter le code arbitraire sur l'hôte avec les privilèges du processus QEMU de l'hôte correspondant à l'invité. Il faut bien noter que même si un invité n'a pas explicitement une disquette configurée et attachée, ce problème est alors exploitable. Le problème existe dans le contrôleur de lecteur de disquettes initialisé pour chaque invité x86 et x86-64, quelle que soit la configuration et ne peut être ni supprimé, ni désactivé.
À notre connaissance, aucune attaque malicieuse n'aurait pu exploiter cette vulnérabilité. Les fonctionnalités sVirt et seccomp limitaient les privilèges des processus QEMU de l'hôte et l'accès aux ressources mitigeait normalement l'impact d'une exploitation de ce problème. Une solution basée stratégie serait d'éviter de donner des privilèges administrateur à des utilisateurs non fiables parmi les invités.
Informations précises sur l'impact
Cette défaillance ne requiert pas que le lecteur de disquettes soit présent dans /dev/ dans l'invité car le contrôleur de lecteur de disquettes (FDC) est toujours présent dans le système. Tout ce dont vous avez besoin pour pouvoir exploiter cette défaillance est l'accès niveau utilisateur à un invité avec suffisamment de permissions pour parler aux ports I/O du contrôleur FDC (c-a-d root ou un utilisateur privilégié dans Linux ou n'importe quel utilisateur sur un invité dans Windows). Pour mitiger le risque de cette défaillance de manière plus générale, ne donner l'accès privilégié d'invité qu'à des utilisateurs de confiance.
Tous les produits Red Hat comprenant QEMU sont touchés par cette défaillance. Les produits Red Hat concernés sont les suivants :
| Product | Package | Advisory |
|---|---|---|
| Red Hat Enterprise Linux 5 | kvm |
RHSA-2015:1003 |
xen |
RHSA-2015:1002 | |
| Red Hat Enterprise Linux 6 | qemu-kvm |
RHSA-2015-0998 |
| Red Hat Enterprise Linux 7 | qemu-kvm |
RHSA-2015-0999 |
| Red Hat Enteprise Virtualization 3 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015-1001 |
| Red Hat Enteprise Virtualization 3 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015-1000 |
| OpenStack Platform 4 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 6 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| RHEV-H 3 (RHEL 6) | rhev-hypervisor6 |
RHSA-2015:1011 |
| RHEV-H 3 (RHEL 7) | rhev-hypervisor7 |
RHSA-2015:1011 |
Mises à jour pour les hôtes de l'hyperviseur RHEV
Les errata pour les packages qemu-kvm-rhev de RHEL 6.6.z et RHEL 7.1.z sont maintenant disponibles ; voir le tableau ci-dessus. Nous conseillons à nos clients de mettre le package qemu-kvm-rhev à jour sur les hôtes de l'hyperviseur RHEL à la dernière version à l'aide du gestionnaire de packages yum. Voir la section Résolution pour obtenir des instructions.
Mises à jour pour les hôtes de l'hyperviseur RHEV Hypervisor (RHEV-H)
Les images RHEV-H ont été reconstruites avec la version corrigée de QEMU et sont maintenant prêtes au chargement. Voir RHSA-2015:1011 pour obtenir des informations.
Comment déterminer la vulnérabilité
La meilleure façon pour un client Red Hat de vérifier la vulnérabilité et confirmer la correction est de consulter le Red Hat Access Lab: VENOM: QEMU Vulnerability Detector.
Solution
Pour éliminer les risques d'exploitation, installez les packages QEMU, KVM, ou Xen mis à jour et rendus disponibles, grâce aux conseils énumérés dans le tableau ci-dessus.
Pour installer les mises à jour, utiliser le gestionnaire de packages yum comme suit :
yum update
Pour mettre à jour uniquement le package QEMU (ou bien le package adapté à votre système) et ses dépendances, utilisez, par exemple :
yum update qemu-kvm
Suite à la mise à jour, les invités - machines virtuelles - doivent être ** arrêtées ** et démarrées à nouveau pour que les mises à jour puissent prendre effet. Il est également possible de migrer les invités loin des hôtes affectés, de mettre l'hôte à jou, et de migrer les invités à nouveau d'où ils viennent. Veuillez noter que redémarrer les VM ne suffit pas parce qu'un invité redémarré continuerait d'exécuter avec le même binaire QEMU (ancien, non mis à jour)
Comments